Douglas Diego de Paiva

Segurança da informação (Engenharia Social, Phishing e outros métodos)

Douglas Diego de PaivaEspecialista em Segurança de Redes de Computadores

Segurança da Informação

Segurança da Informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. São características básicas da segurança da informação os atributos de:

• Confidencialidade

• Integridade

• Disponibilidade

• Autenticidade

• Não Repudio

Seg. da Informação Engenharia Social, Phishing e outros Métodos Douglas Diego

2


Não estando esta segurança restrita somente a sistemas computacionais, informações eletrônicas ou sistemas de armazenamento. O conceito se aplica a todos os aspectos de proteção de informações e dados. O conceito de Segurança Informática ou Segurança de Computadores está intimamente relacionado com o de Segurança da Informação, incluindo não apenas a segurança dos dados/informação, mas também a dos sistemas em si.

3Seg. da Informação Engenharia Social, Phishing e outros Métodos

Douglas Diego

Confidencialidade

Assegura que a informação será acessível somente a quem de direito e na forma de direito,

incluindo aqui o acesso à informação do fato de

que a informação existe. (criptografia)


Douglas Diego

Integridade

Assegura que somente partes devidamente autorizadas tenham acesso para modificar informações armazenadas ou em trânsito. Por acesso de modificação entenda: editar, mudar o estado de acesso (leitura, gravação, execução), deletar, criar, retardar ou reenviar informações em trânsito.(Ataque do Homem do Meio vamos ver mais a frente)


Douglas Diego

Disponibilidade

Requer que os recursos de um sistema gestor da

informação estejam disponíveis às partes autorizadas quando solicitadas e na forma de

direito.

(Ataque de DOS e DDOS vamos ver mais a frente)


Douglas Diego

Autenticidade

Assegura que a informação é realmente da fonte que declara ser.

(Ataque de Phishing vamos ver mais a frente)


Douglas Diego

Não Repudio

Assegura que nem o emissor nem o receptor

de uma informação possam negar o fato.

• Não foi eu! Quem fui?


Douglas Diego


É ai que entra os ataques!

“ A arte da guerra nos ensina a não contar com a probabilidade de que o inimigo não nos venha atacar, mas contar com a nossa capacidade em defrontá-lo, na nossa certeza de termos tornado nossa posição inatacável.”


Douglas Diego


• Segurança: qualidade ou estado de seguro.

• Seguro: livre de riscos, perigos ou ameaças, infalível, certo, indubitável...• Em resumo: isso existe ?!• Podemos não garantir, mas podemos dar

um certo trabalho ...• Comece conhecendo de quem se

proteger


Douglas Diego


Mas como vou saber quem é?

• Ele não tem nacionalidade;

• Não tem nome; (usam nicknames)

• Não tem biotipo; (No nerds)

• Não tem perfil; (nem orkut e nem Facebook)

• Pode não ser ele, mas eles! (Ddos)

• Em um determinado momento pode até nem ser humano! (Bots)


Douglas Diego


Estados da informação:

�Geração e/ou percepção;

�Armazenada;

�Em transmissão.


Douglas Diego

man in the middle

Ataque do Homem do Meio


O Ataque do homem do meio consiste no ato de um indivíduo malicioso infiltrar-se na comunicação entre outros dois indivíduos, capturar suas informações, e repassá-las novamente sem que os comunicadores percebam. Isso acontece devido a uma falha na segurança computacional. Atualmente existem programas capazes de fazer tal leitura, um deles é o T-Sight. (www.engarde.com/software/t-sight/) Esse tipo de ataque é possível porque alguns tipos de comunicações não autenticam seus usuários, permitindo que qualquer pessoa se comunique com qualquer outra pessoa. Assim sendo, facilita para que alguém intercepte a mensagem de A para B, altere-a e depois reenvie para B, só que com algumas informações trocadas.


Douglas Diego


Exemplo:


Douglas Diego

denial-of-service and distributed denial-of-

service

DOS e DDOS

DOS e DDOS

Exemplo:


Douglas Diego

Isso não existe!

Engenharia Social

Engenharia Social

“Não existe patchpara burrice humana”Lema de segurança

“Engenharia social é a arte de se conseguir informações seja lá qual for a maneira, muitos dizem ser loucura mas coisas do tipo falsificar uma carteira de identidade, ir numa universidade dizendo ser outra pessoa só para poder ter acesso a internet da mesma é engenharia social.”


Douglas Diego

Engenharia Social

Engenharia social conta com qualquer tipo de coisa, sejam telefonemas, e-mails, comparecimentos, qualquer coisa... Isso tudo é usado por hackers e crackers...

A Engenharia Social consiste numa série de técnicas utilizadas por pessoas a fim de obter acesso e informações importantes ou sigilosas em organizações ou sistemas por meio da enganação ou exploração da confiança das pessoas.

Fonte: Wikipedia


Douglas Diego

Engenharia Social

“É um termo diferente para definir o uso de persuasão para influenciar as pessoas a concordar com um pedido”

Kevin Mitnick

Assista o Filme ou leia o livro! Takedown: Caçada Virtual


Douglas Diego

Engenharia Social

Características do malandro social:• Educado(a)• Simpático(a)• Carismático(a)• Criativo(a)• Flexível• Dinâmico(a)• Possui uma conversa envolvente • Garotas(os) calma seu namorado não é! (será?)


Douglas Diego

Engenharia Social

Ferramentas do “malandro social”

• Telefone: passar-se por alguém que não é seria um dos típicos ataques, como na personificação em help-desk.

• Internet: coleta de informações como, por exemplo em sites que fornecem id e passworddefault, Orkut, registro.br, Google, twitter ...


Douglas Diego

Engenharia Social

Intranet: o problema aqui são os funcionários insatisfeitos. Eles podem acessar a rede interna estando do lado de fora e se passar por outra pessoa

– E-mail: fakemails, phishing scan (falaremos mais sobre isto adiante);

– Chats: a ausência da presença é um prato cheio para o malandro, palavras bem colocadas, fotos falsas, um verdadeiro paraíso para os iniciantes;


Douglas Diego

Engenharia Social

• Fax: técnicas semelhantes ao do e-mail para conseguir informações da empresa (pedidos de requisição, formulários de preenchimento). Você desconfiaria mais de um e-mail ou de um fax?

• Cartas (correspondência): Cartas são coisas do passado? Então que tal utilizá-las para pessoas “do passado”?

• Spyware: código malicioso cujo objetivo é monitorar de modo oculto as atividades do computador do alvo. (Operação replicante da Policia Federal)


Douglas Diego

Engenharia Social

• Mergulho no lixo (Dumpster diving): o seu lixo só não diz o futuro!

• Surfar sobre os ombros (ataque do

• Ombro falaremos mais a frente)

• P2P (Peer-to-Peer): permitem o estabelecimento de comunicações entre os participantes, na sua maiorias usuários despreparados. Ex.: KaZaa, E-Mule.

• Contato Pessoal (Apenas para Seniors)


Douglas Diego

Engenharia Social

O “malandro social” será o que você estiver precisando naquele exato momento!

• Você já ouviu falar em Programação Neurolingüística (PNL)?

• Não?!

• Se você pretende ser um gestor de segurança aconselho a ler sobre o assunto.


Douglas Diego

Engenharia Social

“- Quem é você? – perguntou uma morena maravilhosa quando me deitei a seu lado nas areias de Miami Beach.

- Qualquer um que eu queira ser

respondi. E, de fato, era.”

Frank Abgnale Jr., do Livro Prenda-me se for Capaz.


Douglas Diego

Engenharia Social

Vulnerabilidades:• Solicitude;• Compaixão;• Ingenuidade;• Excesso de confiança;• Altivez;• Exibicionismo;• Vergonha;• Qualquer coisa que os façam se sentirem importantes e amados! ...


Douglas Diego

Engenharia Social

• Algumas técnicas/abordagens:

- Difusão da responsabilidade

- Troca de favores

- Dever moral

“Repita uma mentira até que ela se torne uma verdade”Joseph Goebbels – Ministro da propaganda Nazista


Douglas Diego

Engenharia Social

Isto é crime!!!

A interpretação legal baseia-se na configuração dos atos de engenharia social como falsidade ideológica, caracterizada pela incorporação de uma identidade alheia (impostura) seguida de fraude. Dependendo do destino dado às informações recebidas (por exemplo, em caso de fraude financeira), o invasor responderá também pelo crime de estelionato.


Douglas Diego

A malandragem social por traz da cortina

“protetora” da Internet

Phishing

Phishing

A expressão phishing é uma gíria hacker derivada da palavra inglesa fishing, que significa pescaria. É uma alusão ao ato de jogar uma isca ao mar e esperar que algum peixe a fisgue. No caso de golpes online, a isca geralmente é uma mensagem de e-mail fraudulenta, em nome de instituições confiáveis, jogada no grande "oceano" da Internet, com o intuito de "fisgar" usuários incautos.


Douglas Diego

Phishing

Nome dado à técnica de ludibriar internautas por meio de falsas mensagens eletrônicas enviadas em massa. As mensagens contêm marcas comerciais, endereços de e-mail e links forjados, os quais aparentam proceder de bancos, operadoras de cartão de crédito ou qualquer outra empresa conhecida cujo nome possa ser usado para recolher dados financeiros e de identidade de clientes incautos.

Você verá agora alguns cuidados que devemos tomar e como reconhecer essa prática:


Douglas Diego

Phishing

1 - Cuidado com qualquer pop-up que apareça na tela durante a navegação ou em um link de e-mail, leia com atenção, e na dúvida feche a caixa de diálogo no botão (X), ou pressionando Alt+f4, nunca pressione o botão do pop-up, por que o "sim" e o "não" podem ser a mesma coisa ou estarem trocados propositalmente.


Douglas Diego

Phishing


Douglas Diego

Phishing

2 - Nunca responda a e-mails que pedem informação financeira pessoal. Companhias e bancos respeitáveis não pedem para seus clientes que confirmem senhas ou detalhes de conta corrente por e-mail. Mesmo com dúvidas sobre a veracidade da mensagem recebida, não responda e entre em contato com a empresa por telefone ou visitando seu site na Web. Também tenha cuidado ao abrir anexos e fazer download de arquivos indicados em e-mails


Douglas Diego

Phishing

3- Visite sites de bancos digitando a URL na barra de endereço do navegador, nunca acesse através de links, principalmente se estiverem em e-mails.

4 - Verifique regularmente suas contas bancárias. Peça para receber por e-mail o estrato de sua conta, qualquer operação suspeita informe imediatamente ao banco.


Douglas Diego

Phishing

5 - Confira se o site que você está visitando é seguro. Antes de fornecer detalhes ou informações como senha e número de conta em um site bancário, dois procedimentos podem ajudar na verificação da segurança local e uso de criptografia para protegê-lo de dados pessoais:

Confira o endereço eletrônico na barra de endereços do navegador. Se o site visitado está em um servidor seguro, deve começar com " https:// " em lugar do habitual http://. O "s" a mais significa segurança.


Douglas Diego

Phishing

Também procure o ícone de um cadeado na barra de status, que fica na parte inferior do navegador. Você pode conferir o nível de criptografia usado pelo site colocando o cursor do mouse sobre ele. Clicando no cadeado, o certificado digital do site será exibido. (confira se o certificado é realmente de uma entidade certificadora confiável)


Douglas Diego

Phishing

6 - Seja cauteloso com e-mails e dados pessoais. A maioria dos bancos coloca a disposição do usuário uma página com informações para efetuar transações seguras, assim como o conselho habitual sobre dados pessoais: nunca deixe qualquer pessoa saber seu PIN (número de identificação pessoal) ou senhas comuns, não anote-as e também não use a mesma senha para todas as suas contas online. Utilize sempre o teclado virtual para digitar sua senha bancária.


Douglas Diego

Phishing

7 - Evite abrir ou responder spams ( E-mail comercial não solicitado ), pois tais procedimentos podem dar ao remetente a confirmação de que o endereço eletrônico está ativo. Use bom senso ao ler e-mails. Se algo parecer improvável ou muito bom para ser verdade, então deve ser falso.


Douglas Diego

Phishing

8 - Mantenha seu computador seguro. Alguns e-mails de phishing ou mesmo spam podem conter spyware (programas que registram informações sobre as atividades do usuário na Internet ou no computador como tudo que você digita) ou trojans que permitem o acesso de terceiros ao computador da vítima. é aconselhável o uso e a atualização freqüente de um anti-vírus, assim como um programa anti-spam


Douglas Diego

Phishing


Douglas Diego

Phishing

• Como se defender:

– A principal maneira de se prevenir contra estes ataques é orientando os usuários e administradores de redes e sistemas sobre como agir nestas situações. A política de segurança da organização desempenha um papel importante neste sentido, pois é nela que são definidas as normas para proteção da informação na organização.


Douglas Diego

A tática mais antiga!

Surfar sobre ombros

Surfar sobre obros

• consistem em observar o alvo digitando, principalmente no momento do login!

Exemplo:


Douglas Diego

Tipos de Mecanismos para Evitar Ataques

• Preventivos

• De Supervisão

• De Recuperação


Douglas Diego

Mecanismos Preventivos

Planejamento ambiental:• Controle de acesso;• Acessibilidade;• Climatização;• Instalações elétricas;• Cofres;• alarmes, ...


Douglas Diego


Proteção física da informação:

• Dispositivos de armazenamento;

• Controle de acesso físico ao sistema cabeado.


Douglas Diego


Proteção Lógica da Informação:

• Criptografia;

• Firewall;

• VPN;

• Proxy;

• ...


Douglas Diego


Capacitação de recursos humanos:• Qualificação e requalificação do grupo

de:• Desenvolvimento;• Manutenção;• Suporte;• Qualificação dos usuários;• Suporte aos usuários, ...


Douglas Diego

Mecanismos de Supervisão

Avaliação constante do estado do sistema com a utilização de ferramentas de monitoração: • Scanners;• sistemas de gerência de redes;• Verificações periódicas das condições

ambientais;• análise de relatórios dos sistemas (logs);• tudo que foge à normalidade deve ser

investigado.(busque sempre por anormalidades!)


Douglas Diego

Mecanismos de Recuperação

• Plano de contingência;

• Backup;

• Site espelho;

• No-breaks espelho;

• Vou ter que digitar tudo novamente?

• Meus acionistas não vão gostar ...


Douglas Diego

Mecanismos

Data a dificuldade de fazer o que o tópico anterior estabelece, poderíamos

graduar a dificuldade de se implantar segurança no que eu considero serem os três principais pontos a serem atacados:

Escala de 1 a 5


Douglas Diego

Mecanismos

Segurança Física: Dificuldade 2

Segurança tecnológica: Dificuldade 3

Usuários: Dificuldade: 5


Douglas Diego

Atacante:

Motivações para um ataque: • Prazer;• Auto-afirmação;• Ganho não autorizado à informação;• Negar responsabilidade por um informação

que o fraudador tenha realmente gerado;• Alegar ter recebido uma informação de

outra fonte sendo que ele mesmo tenha gerado a informação;


Douglas Diego

Atacante:

Motivações para um ataque: • Prazer;• Auto-afirmação;• Ganho não autorizado à informação;• Negar responsabilidade por um informação

que o fraudador tenha realmente gerado;• Alegar ter recebido uma informação de

outra fonte sendo que ele mesmo tenha gerado a informação;


Douglas Diego

Atacante:

• Ampliar direitos de acesso/uso de licenças;

• Modificar direitos de acesso/uso de outros;

• Alegar ter enviado uma informação a outro usuário mas que na realidade não o tenha feito;

• Usar sua banda;

• Usar seus recursos de armazenamento;

• Vingança;


Douglas Diego

Atacante:

• Aprender quando e quais acessos são feitos a uma determinada informação, mesmo que esta informação não seja legível;

• Fraudar uma transação de modo que ela seja entendida como uma falha do sistema;

• Alterar um software, normalmente pela inserção de um código malicioso;


Douglas Diego

Bibliografia:

• Práticas de Segurança para Administradores de Redes Internet -http://www.cert.br/docs/seg-adm -redes/seg-adm -redes.pdf

• Pereira, Marcos. A Arte de HACKEAR Pessoas. Ed. Bra sport.• Kevin Mitnick. A Arte de Enganar. Makron Books• Peixoto, Márcio César P. Engenharia Social e Segura nça da

Informação. Ed. Brasport

Dúvidas?

[email protected]

http://douglasddp.wordpress.com

Documents

Douglas Diego de Paiva